人们经常问我,一个好的安全计划是什么。我多么想指出我的安全外围中的一个方面来用作例子,但有多个项目需要突出。
Attestations 并不总是衡量您的防御姿态
根据定义,认证是表明某事显而易见的指示。在安全的情况下,特别是安全程序,这意味着以官方身份进行认证。
人们经常问我,是什么成就了一个好的安全程序。尽管我希望能指出安全防护中的某一方面来作为例子,但有多个项目需要强调。行业依靠认证和证书来衡量你的安全防御。工程师和操作人员会告诉你,实际的安全防御范围和威胁评估能力定义了你的安全程序。我会告诉你,符合标准按测量,以及你的安全团队的操作能力都定义了你的程序。虽然仅仅靠认证并不是准确衡量程序的基准。
认证是行业必须确保遵守联邦、地方和州法规以及行业最佳实践所需的。ISO、NIST或DoD标准构成了大多数认证的基线。例如,NIST发布了一系列标准和技术指南,以帮助组织建立“被政府接受”的防御体系。不过,正如我将概述的那样,尽管设定了标准,但实施并不总是出色的。
部署一个工具不意味着它正在提供价值
评估整个Cloud Security Program
首先,你至少应该查看声明和调查报告,而不是执行摘要。这将为您提供由第三方审查的程序概述。此外,全面的安全程序应包含强有力的数据保护策略,例如数据库备份和恢复程序,以确保在安全事件期间的业务连续性和数据完整性。其次,你绝对应该查看公司是否进行第三方渗透测试或漏洞奖励计划。个人而言,我不喜欢漏洞奖励计划,但我喜欢每年进行第三方渗透测试。渗透测试为您提供了防御结构测试和关于漏洞的真实反馈。最后,查看公司用于实施基础的安全文件(通常是目录)。这包括(但肯定不限于)安全政策、事件响应和漏洞管理。经验丰富的安全团队将提供共享这些文档和文物作为正常业务的一部分。
我总是从公司数据访问的角度评估每个供应商和合作伙伴。这意味着,如果合作伙伴或供应商管理公司数据,他们受到的审查比不管理公司数据的供应商更多。评估安全程序时,请记住业务目的。我会审查业务目的和涉及的信息类型,然后从该角度评估,而不是一视同仁地处理所有合作伙伴和供应商。当有疑问时,始终要求提供更多信息。
